molebox V4.1290脱壳 By Smoke

幽雅的心

【文章标题】: molebox V4.1290脱壳
【文章作者】: Smoke
【作者邮箱】: 97463448@qq.com
【作者主页】: www.smoke08.com
【作者QQ号】: 97463448
【软件名称】: molebox.exe
【软件大小】: 1.26 MB
【下载地址】:  http://u.115.com/file/f25e456c9
【脱文下载】:  http://u.115.com/file/f263729893  
【加壳方式】: molebox
【保护方式】: molebox
【编写语言】: Microsoft Visual C++ 7.0
【使用工具】: OD,LordPE,REC
【操作平台】: Windows Xp Sp3
【软件介绍】: 一款不错的**壳.
【作者声明】: 只是感兴趣,没有其他目的.失误之处敬请各位多多指教!
--------------------------------------------------------------------------------
【详细过程】
  molebox 是一款不错的**壳
  就用molebox V4.1290主程序来进行演示吧
  有不到位的地方还请各位多多指出.
  程序为Microsoft Visual C++ 7.0编写
  就用xp自带的notepad.exe对比吧
  OD载入notepad.exe
  记录:
  010073B4   .  66:8138 4D5A  cmp     word ptr [eax], 5A4D
  010073B9   .  75 1F         jnz     short 010073DA                   ;  010073DA
  010073BB   .  8B48 3C       mov     ecx, dword ptr [eax+3C]
  010073BE   .  03C8          add     ecx, eax
  010073C0   .  8139 50450000 cmp     dword ptr [ecx], 4550
  二进制为:
  66 81 38 4D 5A 75 1F 8B 48 3C 03 C8 81 39 50 45 00 00
  
  载入molebox.exe
  F9运行  
  Alt+M
  查找二进制 66 81 38 4D 5A 75 1F 8B 48 3C 03 C8 81 39 50 45 00 00
  复制 004F1892  66   f
  来到CPU窗口 跟随表达式 004F1892
  Ctrl+L 来到
  004F18E0    6A 74           push    74
  004F18E2    68 D0E55600     push    56E5D0
  004F18E7    E8 A4030000     call    004F1C90                         ; 004F1C90
  004F18EC    33DB            xor     ebx, ebx
  004F18EE    895D E0         mov     dword ptr [ebp-20], ebx
  004F18F1    53              push    ebx
  004F18F2    8B3D 90C25100   mov     edi, dword ptr [51C290]          ; kernel32.GetModuleHandleA
  004F18F8    FFD7            call    edi
  004F18FA    66:8138 4D5A    cmp     word ptr [eax], 5A4D
  004F18FF    75 1F           jnz     short 004F1920                   ; 004F1920
  004F1901    8B48 3C         mov     ecx, dword ptr [eax+3C]
  004F1904    03C8            add     ecx, eax
  004F1906    8139 50450000   cmp     dword ptr [ecx], 4550
  
  在 004F18E0    6A 74           push    74  //下硬件执行断点
  
  OD重载  F9运行 看IAT 似乎没加密
  
  但是前人提到了IAT除了以下几个,全部有效:
  004F1652   - FF25 90CC5100      jmp dword ptr ds:[51CC90]
  004F1658   - FF25 A0CC5100      jmp dword ptr ds:[51CCA0]
  004F165E   - FF25 94CC5100      jmp dword ptr ds:[51CC94]
  004F1664   - FF25 98CC5100      jmp dword ptr ds:[51CC98]
  004F166A   - FF25 9CCC5100      jmp dword ptr ds:[51CC9C]
  
  跟随表达式到 004F1652
  
  数据窗口来到00E35010 往上拉 来到 00E30000  发现是一个PE文件 应该是**的dll文件
  
  现在还不能dump出来.因为文件已经被初始化了... 记录 DLL基址:00E30000
  
  00E30000  4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00  MZ?......

pxhb

没有复制完？{:soso_e119:}

xjhkkk

嗯看看怎么样